確保兩大虛擬環境安全

信息安全

作者：程彥博

雲計算正在各個行業得到越來越多的應用，在稅務係統也不例外。然而，從信息安全的角度而言，雲計算和虛擬化技術的應用，給係統的安全性帶來了新的挑戰，特別是虛擬化環境中的“防毒掃描風暴”問題，給很多用戶帶來困擾。

近日，記者了解到青島市地方稅務局（下文簡稱青島地稅）在麵對上述問題時所取得的一些經驗，他們成功在兩大虛擬化環境中解決了上述問題，並降低了運營成本。

部署兩大虛擬化環境

據了解，青島地稅下轄16個管理局，30餘個鄉鎮稅務所，運行著稅收管理係統、行政管理係統等信息係統，2013年稅收收入突破500億元。經過多年的信息化建設，青島地稅積累了豐富的IT資源，特別是從2009年就率先展開了IT基礎架構的全麵升級，采用了VMware的產品實施虛擬化項目。

在虛擬化項目“破土動工”之前，青島地稅信息化應用遇到了一係列挑戰，這包括：服務器資源利用率較低、各類試點與上線工作缺少快速部署能力、服務器采購與維護成本不斷攀升等，而采用VMware vSphere虛擬化平台之後，在幾乎未添加過物理服務器的情形下，上述問題得到了一一化解。

2013年，青島地稅以實現移動辦稅、辦公，進一步提高稅務服務為目標，選擇了VMware桌麵雲解決方案，采用VMware Horizon Suite虛擬桌麵解決了遠程辦稅和日常辦公的應用安全，以及統一部署管理問題。青島地稅相關負責人表示，通過虛擬化技術改造，減少的設備采購、雙機軟件采購與運維、電力成本等方麵的成本至少在300萬元以上。

虛擬服務器和雲桌麵雙安全

虛擬化技術在成本節約方麵的優勢不言而喻。然而，這種高效率、低成本的部署方式卻給係統的信息安全帶來了不小的挑戰。

“當我們把之前物理服務器上的防病毒軟件直接遷移到虛擬化平台進行測試時，一係列問題出現了。由於這些安全產品不是針對虛擬化環境設計的，當管理服務器請求多台虛擬機運行按需掃描或更新病毒庫時，便會觸發所有虛擬機同時執行排程，從而導致對物理主機性能需求出現瞬間激增，造成CPU、內存、存儲I/O和網絡擁堵的情況發生。”青島地稅相關負責人表示，這就是所謂的“防毒掃描風暴”。

可以說，傳統的防病毒軟件完全不能適應虛擬化環境。在虛擬化環境中應用傳統防病毒軟件，會讓虛擬化高效率低成本的優勢蕩然無存。於是，青島地稅選擇了專門針對虛擬化環境設計的、與VMware深度結合的趨勢科技Deep Security來作為其虛擬化環境信息安全的首選產品。

事實上，從產品研發階段開始，趨勢科技Deep Security就緊密整合了VMsafe API和VMware vShield Endpoint API。與VMware的完美融合，實現了不需要為每一個虛擬機安裝代理程序，就能提供保護的網絡防護和病毒防護技術，從而能夠降低內存與中央處理器的負載。在功能集成方麵，Deep Security為用戶提供了平台化的操作環境，這包括統一管理所需的內容安全功能，配置防火牆、防惡意軟件、IDS/IPS、Web 應用程序防護、虛擬補丁、完整性監控，以及日誌審計和綜合報表等模塊。

經過充分評測之後，青島地稅信息中心將趨勢科技Deep Security部署在兩大虛擬場景中，包括虛擬服務器威脅防禦和雲桌麵，實現了統一的安全防護架構。“此外，我們利用VMware桌麵雲解決方案組建了高性能的VPN係統，實現了安全加密連接和身份鑒別，確保了虛擬桌麵用戶數據的安全性。同時，趨勢科技的Deep Security也在VDI環境中發揮了得天獨厚的無代理安全特性，利用ESX層的緩存設計，防止了重複數據被再次掃描，提升了性能指標。”青島地稅該負責人說。